¿Permitir SFTP pero no permitir SSH?

Estoy comenzando una pequeña empresa de alojamiento para algunos amigos y pequeños clientes, nada grande.

Quiero dar a mis "clientes" el derecho de administrar sus archivos en el servidor. Odio el FTP ya que no es seguro y, en mi opinión, es obsoleto.

Por lo tanto, me gustaría permitir que mis usuarios se conecten a través de SFTP pero no permitir que se conecten a través de SSH. (Lo sé, lo sé, SFTP está usando SSH). Pero me preguntaba, ¿es posible?

¡Entonces no tendría que instalar un servicio FTP en el servidor y todo sería increíble!

A partir de la versión 4.9 OpenSSH (no disponible en centos 5.x, pero la función ChrootDirectory fue compatible) tiene un internal-sftpsubsistema:

Subsystem sftp internal-sftp

Y luego bloquee otros usos:

Match group sftponly
     ChrootDirectory /home/%u
     X11Forwarding no
     AllowTcpForwarding no
     ForceCommand internal-sftp

Agregue sus usuarios al sftponlygrupo. Debe cambiar el directorio de inicio del usuario a /debido al chroot y /home/userdebe ser propiedad de root. También lo establecería /bin/falsecomo el shell del usuario.

Hay una cáscara scponly qué hace esto. También puede chroot .

Checkout rssh, que es un shell falso que permite sftp pero niega ssh

Más acerca de RSSH

http://www.pizzashack.org/rssh/

RPM

http://pkgs.repoforge.org/rssh/

Puede configurar rssh para permitir / denegar diferentes comportamientos como sft, scp, etc.

Puede modificar / etc / passwd y darle a ese usuario un shell falso para que no pueda usar ssh.

Utilizo el método de especificar el shell de usuario como / bin / false como se mencionó. Sin embargo, debe asegurarse de que / bin / shell esté en / etc / shells. Entonces funciona ssh = no ftp = ok.

También uso vsftpd y agrego este
chroot_local_user = YES a /etc/vsftpd/vsftpd.conf para que los ftp-ers no puedan ver la fecha más que la suya.

La ventaja de estos cambios simples es que no hay una configuración molesta para la configuración ssh para cada usuario.

No olvides encontrar la línea UsePAM yesy comentarla:

#UsePAM yes

Sin deshabilitar esto, su servidor SSH se bloqueará al recargar / reiniciar. Como no necesita funciones sofisticadas de PAM, está bien.

La configuración de ssh para habilitar solo sftp para algunos usuarios seleccionados es una buena idea y funciona correctamente, siempre que instale scponlyo rssh.

rsshfunciona bien, a menos que necesite configurar la cárcel, en este caso, tratar de seguir las instrucciones proporcionadas por los manuales de CHROOT es una locura, lo que lleva a "copiar" grandes partes de los ejecutables del sistema y la biblioteca justo debajo de "cada cárcel de usuario", incluido el rsshpropio shell. Es un método de pérdida de espacio.

scponly necesita una comprensión profunda en la configuración que conduzca a un problema siempre presente de rechazo de inicio de sesión en caso de configuración de la cárcel.

La forma directa de permitir funcionalidades "ftp" con la cárcel funcionando correctamente, el soporte SSL / TLS para transacciones seguras e inicio de sesión es utilizar un VSFTPD "antiguo pero funcional", que se instala de forma rápida y limpia y ofrece toda la configurabilidad según sea necesario y, por último pero no menos importante: ¡funciona!

Maurizio

Desafortunadamente, todas las respuestas son extremadamente engañosas: haga lo siguiente:

1. Primero cree el usuario sftp y el grupo sftp

2. Cree un directorio separado como raíz para los archivos SFTP: sudo mkdir -p /home/sftpdir

3. Tenga un archivo sshd_config probado que permita SSH sobre el puerto 22 pero también SFTP en un puerto aleatorio por razones de seguridad

#$OpenBSD: sshd_config,v 1.101 2017/03/14 07:19:07 djm Exp $
# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Port 38250 Port 22 PasswordAuthentication no 
ChallengeResponseAuthentication no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'. UsePAM yes X11Forwarding yes PrintMotd no
# Allow client to pass locale environment variables AcceptEnv LANG LC_*
#DenyUsers sftpuser

# override default of no subsystems Subsystem       sftp    internal-sftp 
Match group sftp 
Match User sftpuser 
Match LocalPort 38250 
ForceCommand internal-sftp 
ChrootDirectory /home/sftpdir 
PermitTunnel no 
AllowAgentForwarding no 
X11Forwarding no    
AllowTcpForwarding no

4. Reiniciar y verificar el estado del servicio sshd

   sudo service sshd restart

   servicio sshd status

5. Crea un archivo Shell. Agregar ejecución para hacer eco de un mensaje de notificación

   sudo touch / bin / sftponly echo -e '#! / bin / sh \ necho "Esta cuenta está limitada solo al acceso SFTP". sudo tee -a / bin / sftponly

6. Otorgue permisos de ejecución y anexe al archivo de shells

   sudo chmod a + x / bin / sftponly echo "/ bin / sftponly" | sudo tee -a / etc / shells

7. finalmente Pruebe y no debería poder conectarse.

8. Una plantilla para usar el cliente SFTP con una clave SSH y verbosidad básica:

   sftp -v -oPort = $ RANDOM_PORT -i ~ / .ssh / $ SSH_KEY.pem sftpuser @ $ HOST